AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**La gestión eficaz del riesgo de terceros en ciberseguridad exige gobernanza rigurosa y visibilidad total**

### 1. Introducción

La proliferación de relaciones comerciales digitales y la dependencia creciente de proveedores externos han situado la gestión del riesgo de terceros (Third-Party Risk Management, TPRM) en un punto central de la agenda de CISOs y responsables de seguridad. La complejidad de los ecosistemas actuales, sumada a la presión regulatoria (GDPR, NIS2, DORA), exige una gobernanza precisa, visibilidad completa de la exposición y una tolerancia al riesgo bien definida, especialmente bajo la supervisión de los consejos directivos.

### 2. Contexto del Incidente o Vulnerabilidad

En los últimos años, los ataques a la cadena de suministro se han multiplicado exponencialmente. Casos como SolarWinds, Kaseya o MOVEit han demostrado que la seguridad perimetral tradicional es insuficiente y que los vectores de ataque a través de terceros pueden comprometer incluso a organizaciones con fuertes controles internos. Según datos recientes del ENISA “Threat Landscape 2023”, el 62% de los incidentes de seguridad grave implicaron a proveedores externos.

Las empresas están obligadas, no sólo por la lógica del riesgo sino también por la normativa, a identificar, evaluar y monitorizar de forma continua la exposición derivada de sus partners tecnológicos, proveedores cloud, integradores y cualquier actor que tenga acceso a datos o sistemas críticos.

### 3. Detalles Técnicos

#### Vectores de ataque y exposición

Las técnicas empleadas por los atacantes para explotar vulnerabilidades en la relación con terceros son diversas:

– **Compromiso de software legítimo**: Manipulación de actualizaciones o componentes (T1195.002 según MITRE ATT&CK).
– **Acceso a credenciales compartidas**: Uso indebido de cuentas privilegiadas facilitadas a proveedores (T1078).
– **Uso de bibliotecas de código abierto comprometidas**: Inyección de código malicioso en dependencias (T1195.001).
– **Phishing dirigido a personal de terceros**: Ataques de spear-phishing aprovechando la confianza establecida.

#### Indicadores de compromiso (IoC) y explotación conocida

En ataques recientes, los IoCs han incluido:

– Hashes de ejecutables alterados en repositorios de proveedores.
– Direcciones IP y dominios asociados a C2 (Command & Control) detectados en framework Cobalt Strike y Metasploit.
– Logs de autenticación anómalos desde ubicaciones geográficas inusuales.

#### Vulnerabilidades explotadas

– **CVE-2023-34362 (MOVEit Transfer)**: Explotada ampliamente para exfiltrar datos a través de proveedores de servicios gestionados.
– **CVE-2020-10189 (Zoho ManageEngine)**: Utilizada para movimiento lateral a través de integradores de sistemas.

### 4. Impacto y Riesgos

El impacto de un incidente originado en un tercero puede ser devastador. Según IBM Cost of a Data Breach Report 2023, un incidente de este tipo supone un sobrecoste medio del 12% respecto a incidentes internos, situándose en 4,76 millones de dólares por brecha. Además, el daño reputacional y las multas regulatorias (hasta el 4% de la facturación anual bajo GDPR) agravan el riesgo.

Entre los sectores más afectados destacan servicios financieros, sanitario y administraciones públicas, donde la confianza en proveedores cualificados no exime de consecuencias legales y operativas.

### 5. Medidas de Mitigación y Recomendaciones

Una estrategia de TPRM eficaz debe basarse en:

– **Inventario y categorización de terceros**: Clasificación basada en criticidad y acceso a datos/sistemas.
– **Evaluaciones de riesgo periódicas**: Uso de cuestionarios, auditorías y escaneos de vulnerabilidades (SCA, SAST, DAST) en software suministrado.
– **Contratos robustos**: Inclusión de cláusulas de seguridad, derecho de auditoría y notificación obligatoria de incidentes.
– **Monitorización continua**: SIEM y herramientas de Threat Intelligence para detección temprana de anomalías asociadas a proveedores.
– **Gestión de acceso privilegiado (PAM)**: Políticas de mínimo privilegio y autenticación multifactor para terceros.
– **Planes de respuesta y recuperación**: Integración de los proveedores críticos en los procedimientos de gestión de incidentes.

### 6. Opinión de Expertos

Expertos como Miguel Ángel Juan, socio director de S2 Grupo, subrayan que “el riesgo cero no existe, pero una supervisión activa y una cultura de seguridad compartida con los proveedores reducen drásticamente la superficie de ataque”. Por su parte, la Agencia Española de Protección de Datos (AEPD) recomienda incluir el análisis de subcontrataciones en las evaluaciones de impacto (PIA) y mantener un registro actualizado de las operaciones de tratamiento delegadas.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la gestión deficiente del riesgo de terceros puede suponer no sólo sanciones económicas, sino también la pérdida de confianza de clientes y mercados. Los usuarios, por su parte, deben exigir transparencia y garantías sobre el tratamiento seguro de sus datos, incluso cuando estos sean gestionados indirectamente por terceros.

El auge de soluciones de TPRM automatizadas y marketplaces de seguridad demuestra que el sector avanza hacia una mayor madurez, aunque la integración real de la ciberseguridad en la cadena de suministro sigue siendo un reto pendiente para muchas organizaciones.

### 8. Conclusiones

La gestión del riesgo de terceros ya no es opcional: es un imperativo estratégico y regulatorio. Solo una gobernanza disciplinada, apoyada en procesos sólidos y tecnología adecuada, puede ofrecer la visibilidad y el control necesarios para minimizar la exposición y responder con eficacia ante incidentes. El compromiso del consejo de administración y la colaboración estrecha con los proveedores serán factores clave en la resiliencia digital de las organizaciones en el contexto actual.

(Fuente: www.darkreading.com)